中钢天源:内部控制评价制度

中钢天源股份有限公司
内部控制评价制度
第一章 总 则
第一条 为了促进中钢天源股份有限公司（以下简称“公司”）全面评价内部控制的设计与运行情况，规范公司内部控制评价程序和评价报告，揭示和防范风险，根据《中华人民共和国公司法》《中央企业全面风险管理指引》《企业内部控制基本规范》《企业内部控制评价指引》《深圳证券交易所上市公司自律监管指引第1号—主板上市公司规范运作》《公开发行证券的公司信息披露编报规则第21号—年度内部控制评价报告的一般规定》等法律法规及规范性文件规定，结合公司的具体情况，制定本制度。
第二条 本制度所称内部控制评价，是指由公司董事会实施的，对本公司内部控制设计和执行有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条 内部控制评价旨在实现以下三大目标：
（一）及时发现内部控制缺陷，促进内部控制持续改进；
（二）对内部控制设计和执行有效性发表评价结论，为披露年度内部控制评价报告提供支撑；
（三）建立内部控制评价、反馈、持续改进的长效机制，满足外部监管要求和内部管理需要。
第四条 公司实施内部控制评价至少应当遵循以下原则：
（一）全面性原则：评价工作应当包括内部控制的设计与运行，涵盖公司及其下属各二级单位的各种业务和事项。
（二）重要性原则：评价工作应当在全面评价的基础上，关注公司高风险领域、重要业务单位、重大业务事项、重要业务流程和关键控制环节。
（三）客观性原则：评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。
（四）风险导向原则：评价工作应当以风险评估为基础，根据风险发生的可能性以及其对公司单个或整体控制目标的影响程度来确定需要评价的重要业务单位、重大业务事项、重要业务流程。
（五）独立性原则：内控评价机构的确定以及评价工作的组织实施应该保持
相应的独立性。
（六）成本效益原则：内部控制评价应当以适当的成本实现科学有效地评价。
（七）一致性原则：内部控制评价应当采用统一可比的评价方法和标准。
第二章 组织机构职责与分工
第五条 公司董事会是公司内部控制评价的最高决策机构和最终责任者，其主要职责包括：
（一）审批公司内部控制评价管理制度；
（二）审批内部控制评价报告；
（三）批准涉及内部控制缺陷整改的重大决策、重大风险、重大事项；
（四）对内部控制重大缺陷作最终认定；
（五）对内部控制评价报告的真实性负责。
第六条 董事会审计委员会为公司的内部控制评价领导、监督机构，其主要职责包括：
（一）指导和监督内部控制评价制度建设和实施；
（二）审议公司内部控制缺陷认定标准；
（三）审议内部控制评价报告；
（四）审议公司内部控制重大缺陷的认定意见；
（五）根据内部控制缺陷情况，审议内部控制整改方案和措施；
（六）协调解决内部控制评价过程中出现的重大事项。
第七条 审计部是公司内部控制评价的归口管理部门，负责组织、实施内部控制评价工作，其主要职责包括：
（一）确定开展年度内部控制设计和运行有效性评价的工作范围和方法；
（二）实施内部控制设计和执行的有效性评价，分析其设计和执行的有效性，并跟进监督公司内部控制缺陷整改工作。
具体实施的主要工作包括：
1.负责拟定内部控制评价工作计划和方案；
2.组织内部控制测试小组；
3.召开内部控制评价启动会；
4.组织实施内部控制评价的测试工作；

5.整理内部控制评价工作底稿；
6.与被评价单位沟通确认内控缺陷；
7.提出整改建议并监督、检查完成情况；
8.编写内部控制评价报告；
（三）配合中介机构对公司内部控制体系进行审计。
第八条 公司各单位、各部门应积极配合内部控制测试小组工作，及时、完整地提供所需的原始凭证、报表、操作规程和书面报告等文件资料并切实整改内部控制缺陷，持续提高公司内部控制有效性。
第三章 内部控制评价实施
第九条 公司内部控制评价是以审计部和内部控制测试小组为主导实施，内部控制全面评价每年进行一次，具体分为以下阶段：
（一）评价工作准备；
（二）评价实施；
（三）缺陷评估；
（四）出具内部控制评价报告。
第十条 审计部于每年年末编制内部控制评价工作实施方案，经董事会审计委员会审议批准后予以实施。
第十一条 审计部根据经批准的实施方案，从各单位、各部门抽调业务骨干，组成内部控制测试小组，并组织适当的培训工作，确保测试小组成员掌握必要的内控知识和测试技能。
第十二条 测试小组根据实施方案对公司内部控制设计有效性和执行有效性进行测试。
第十三条 测试小组应灵活运用观察、访谈、检查、穿行测试、问卷调查等测试工具全面、系统地对公司内部控制情况进行测试，并登记测试底稿。
第十四条 对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。存在下列情况之一，应当认定内部控制存在缺陷：
（一）未实现规定的控制目标；
（二）未执行规定的控制活动；

（三）突破规定的权限；
（四）不能及时提供控制运行有效的相关证据。
第十五条 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
（一）重大缺陷，是指一个或多个缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情况。
（二）重要缺陷，是指一个或多个缺陷的组合，严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大。
（三）一般缺陷，是指除重大缺陷和重要缺陷之外的其他缺陷。
第十六条 财务报告重要性水平的评判标准如下：
（一）在公司业务持续稳定经营的情况下，选取最近一年经审计利润总额的5%；
（二）如当年利润总额较前一年减少50%以上，选取过去3年经审计利润总额平均数的5%；
（三）如当年利润总额为零或负，选取最近一年经审计主营业务收入的1%。
第十七条 公司财务报告内部控制缺陷的定量标准如下：
定量标准以财务报告重要性水平作为衡量指标。
财务报告的编制、汇总报告的过程中可能导致错漏或其他财务信息不真实、不完整的金额×年度发生频率小于财务报告重要性水平的50%，或其他等效影响程度，则认定为一般缺陷；财务报告的编制、汇总报告的过程中可能导致错漏或其他财务信息不真实、不完整的金额×年度发生频率大于等于财务报告重要性水平的50%并小于财务报告重要性水平，或其他等效影响程度，则认定为重要缺陷；财务报告的编制、汇总报告的过程中可能导致错漏或其他财务信息不真实、不完整的金额×年度发生频率大于等于财务报告重要性水平，或其他等效影响程度，则认定为重大缺陷。
第十八条 公司财务报告内部控制缺陷的定性标准如下：
（一）出现以下情形（包括但不限于），一般应认定为财务报告内部控制重大缺陷：
1. 发现董事和高级管理人员在公司管理活动中存在重大舞弊；
2.已经公布的财务报表变更、当期财务报表存在重大错报；

3.内部控制的监督无效、重要业务缺乏控制以及重大缺陷未得到整改；
4.因会计差错导致证券监管机构的行政处罚。
（二）出现以下情形（包括但不限于），一般应认定为财务报告内部控制重要缺陷：
1.未依照公认会计准则选择和应用会计政策；
2.未建立反舞弊程序和控制措施；
3.对于非常规或特殊交易的财务处理没有建立相应的控制机制或没有实施且没有相应的补充性控制；
4.对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。
第十九条 公司确定的非财务报告内部控制缺陷评价的定量标准如下：
定量标准以财务报告重要性水平作为衡量指标。
（一）由于违反法律法规，可能导致政府和监管机构的调查、引起诉讼并伴随着罚款或损失的金额×年度发生频率大于财务报告重要性水平的50%，或其他等效影响程度，则认定为一般缺陷；由于违反法律法规，可能导致政府和监管机构的调查、引起诉讼并伴随着罚款或损失的金额×年度发生频率大于等于财务报告重要性水平的50%并小于财务报告重要性水平，或其他等效影响程度，则认定为重要缺陷；由于违反法律法规，可能导致政府和监管机构的调查、引起诉讼并伴随着罚款或损失的金额×年度发生频率大于等于财务报告重要性水平，或其他等效影响程度，则认定为重大缺陷。
（二）可能导致资产不完整、损毁、泄露、被盗抢或挪用、灭失、贬值的金额×年度发生频率小于财务报告重要性水平的50%，或其他等效影响程度，则认定为一般缺陷；可能导致资产不完整、损毁、泄露、被盗抢或挪用、灭失、贬值的金额×年度发生频率大于等于财务报告重要性水平的50%并小于财务报告重要性水平，或其他等效影响程度，则认定为重要缺陷；可能导致资产不完整、损毁、泄露、被盗抢或挪用、灭失、贬值的金额×年度发生频率大于等于财务报告重要性水平，或其他等效影响程度，则认定为重大缺陷。
第二十条 公司确定的非财务报告内部控制缺陷评价的定性标准如下：
（一）出现以下情形（包括但不限于），一般应认定为重大缺陷：

1.缺乏民主决策程序、企业决策程序不科学，导致公司重大财产损失；
2.违反国家法律法规，可能使公司遭受严重处罚或重大损失；
3.内部控制评价的结果特别是重大或重要缺陷未得到整改；
4.重要业务缺乏制度控制或制度系统性失效。
（二）出现以下情形（包括但不限于），一般应认定为重要缺陷：
1.违反公司内部规章，形成较大损失；
2.决策程序存在但不够完善；
3.重要业务制度或系统存在明显缺陷；
4.未开展风险评估，内部控制设计未覆盖重要业务和关键风险领域，不能实现控制目标。
第二十一条 判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：
（一）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷；
（二）针对同一细化控制目标所采取的不同控制活动之间的相互作用；
（三）针对同一细化控制目标是否存在其他补偿性控制活动。
第二十二条 测试小组应对已识别的内部控制缺陷可能对本企业造成的影响进行初步认定，进而评估内控缺陷的严重程度。对本企业造成的影响包括以下方面：财务影响、业务影响、信息系统影响、公司营运影响及声誉影响等。
测试小组应从该缺陷对其他内部控制的影响、内部控制缺陷的组合影响以及是否存在替代性内部控制三方面进一步调整内部控制缺陷影响程度。
第二十三条 测试小组对评价过程中识别的内部控制缺陷提出初步评估意见，提交审计部。审计部编制内部控制缺陷汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，并以书面形式向审计委员会报告。
重大缺陷应由董事会予以认定。
第二十四条 审计部根据测试小组提供的内部控制评价情况及相关底稿，客观、公正地编写《内部控制评价报告》，经公司审计委员会审议后，报董事会批准。
《内部控制评价报告》应至少包括以下主要内容：

（一）标题
（二）收件人
（三）引言段
（四）重要声明
（五）内部控制评价结论
（六）内部控制评价工作情况
（七）其他内部控制相关重大事项说明
第四章